Эксперты опасаются последствий продажи
Активно поддерживаемый троян удаленного доступа DCRat (он же DarkCrystal RAT), продается по очень низким ценам и становится доступным для профессиональных групп киберпреступников и начинающих хакеров.
«В отличие от хорошо финансируемых массовых российских групп угроз, создающих пользовательские вредоносные программы, этот троянец удаленного доступа (Remote Access Trojan, RAT) является работой киберпреступника. RAT предлагает эффективный самодельный инструмент для открытия бэкдоров с ограниченным бюджетом», — говорится в отчете исследователей BlackBerry.
«На самом деле, RAT продается за небольшую часть стандартной цены таких инструментов на российских подпольных форумах», — дополнили эксперты в отчете.
DCRat написан на .NET пользователем с кодовыми именами «boldenis44» и «crystalcoder» и представляет собой полнофункциональный бэкдор с возможностью расширения возможностей сторонними плагинами, разработанными аффилированными лицами с использованием специальной интегрированной среды разработки (Integrated Development Environment, IDE) под названием DCRat Studio.
Впервые программа была выпущена в 2018 году, версия 3.0 была выпущена 30 мая 2020 года, а версия 4.0 была запущена 18 марта 2021 года. Цены на троянца составляют 500 рублей за двухмесячную лицензию, 2200 за год и 4200 рублей за пожизненную подписку.
Проведенный анализ Mandiant в мае 2020 года проследил инфраструктуру RAT на files.dcrat[.]ru. В настоящее время пакет вредоносных программ размещен на другом домене с именем crystalfiles[.]ru , что указывает на изменение реакции на публичное раскрытие информации. Также активно используется для общения и уведомлений об обновлениях ПО и плагинов Telegram-канал с более 2800 подписчиков.
«Все маркетинговые и торговые операции DCRat осуществляются через популярный российский хакерский форум lolz [.]guru , обрабатывающий некоторые предпродажные запросы DCRat», — сказали исследователи.
Помимо модульной архитектуры и специально разработанной платформы плагинов, DCRat также включает в себя компонент администратора для скрытного запуска и позволяет злоумышленнику удаленно вывести устройство из строя. Утилита администратора позволяет пользователю входить в активный сервер управления, посылать команды зараженным целям и отправлять отчеты об ошибках.
Векторы распространения DCRat включают маяки Cobalt Strike, систему направления трафика Prometheus TDS (Traffic Direction System, TDS) и схему crimeware-as-a-service (CaaS) для доставки различных полезных нагрузок.
«Новые плагины и незначительные обновления объявляются почти каждый день», — сказали исследователи. «Если угроза разрабатывается и поддерживается только одним человеком, то над этим проектом он работает полный рабочий день».
Источник: securitylab